投稿者 global-ai-media 
FBIやセキュリティ専門メディアが、北朝鮮の脅威アクターによる新たな攻撃手法や、インターネット上に意図せず公開されたLLM(大規模言語モデル)サービスへの攻撃増加を警告しています。本記事では、これらの脅威の背景を解説し、日本企業が構築・運用する生成AIシステムのセキュリティをどう守るべきか、実務的な観点から考察します。
脅威の高度化:QRコード攻撃(Quishing)とLLMインフラへの標的
米国FBIおよびセキュリティメディアDark Readingの報道によると、北朝鮮の国家支援型ハッカー集団(APT)によるサイバー攻撃の手口が巧妙化しています。特に注目すべきは、「Quishing(クイッシング)」と呼ばれるQRコードを用いたフィッシング攻撃の悪用と、セキュリティ設定が不十分なままインターネット上に公開されているLLM関連サービスへの標的型攻撃です。
Quishingは、悪意のあるQRコードをメールや物理的な場所に配置し、ユーザーのスマートフォンを経由して企業の認証情報を盗み出す手法です。これにより、従来のPCベースのセキュリティフィルターを迂回し、企業のクラウド環境やAI開発環境への侵入を試みます。一度侵入を許せば、そこにある「露出したLLMサービス」が次の標的となります。
「意図せず公開されたLLMサービス」のリスクとは
ここで言う「露出したLLMサービス(Exposed LLM Services)」とは、適切な認証やアクセス制御が行われないまま、インターネットからアクセス可能な状態になっているAIインフラを指します。具体的には以下のようなケースが散見されます。
- 開発者がテスト用に立ち上げたローカルLLMサーバー(OllamaやvLLMなど)のポートが開放されたままになっている。
- RAG(検索拡張生成)システムで使用するベクターデータベースが、デフォルトのパスワードや認証なしで公開されている。
- APIキーがハードコーディングされたままのアプリケーションがデプロイされている。
攻撃者は自動化されたスキャンツールを用い、こうした脆弱なエンドポイントを探索しています。被害は、独自データの漏洩(機密情報や個人情報)にとどまらず、高価なGPUリソースを暗号資産のマイニングに不正利用される「クリプトジャッキング」や、モデル自体への汚染(ポイズニング)にまで及ぶ可能性があります。
日本企業特有の「PoC文化」とセキュリティの死角
日本国内でも生成AIの活用が進んでいますが、多くの企業で懸念されるのが「PoC(概念実証)環境の放置」です。日本の組織では、現場部門主導でスモールスタートしたPoCプロジェクトが、IT部門やセキュリティ部門の監査を受けずに進められるケースが少なくありません(いわゆるシャドーIT、シャドーAI)。
「とりあえず動くものを」と急ぐあまり、ファイアウォール設定を甘くしたり、認証機能を後回しにしたままクラウド上にサーバーを立てたりする事例は、攻撃者にとって格好の的です。また、日本企業は閉域網(VPN等)への信頼が厚く、クラウド上の個別のリソースに対するゼロトラスト的なアクセス制御がおろそかになりがちという指摘もあります。
日本企業のAI活用への示唆
今回のFBIの警告やセキュリティ動向を踏まえ、日本企業の意思決定者やエンジニアは以下の点に留意してAIプロジェクトを推進すべきです。
1. AI資産の棚卸しと可視化(ASMの徹底)
自社が管理するドメインやIPアドレス内で、意図せず公開されているAIサービスがないか定期的にスキャンを行う必要があります。Attack Surface Management(攻撃対象領域管理)の考え方をAIインフラにも適用し、開発部門が勝手に立ち上げたサーバーを早期に検知する仕組みが求められます。
2. 開発・検証環境への「セキュリティ・バイ・デザイン」
「PoCだからセキュリティは後回し」という考えを改める必要があります。LLMやベクターデータベースを構築する際は、たとえ検証段階であっても、必ず認証認可(OAuthなど)を実装し、ネットワーク制限をかけることをルール化すべきです。MLOpsのパイプラインにセキュリティチェックを組み込むことも有効です。
3. 人間を狙う攻撃への啓発と多要素認証
Quishingのような手口は、技術的な防御だけでなく、従業員のリテラシーに依存します。スマートフォン経由での認証情報窃取を防ぐため、FIDO2などのハードウェアキーを用いた多要素認証の導入や、QRコードの読み取りに対する注意喚起を徹底することが、結果としてAIシステムを守ることにつながります。